NativeZone Malware

NativeZone Malware to zagrożenie ładujące wdrożone w ramach nowego ataku phishingowego przypisywanego niesławnej grupie hakerów APT29. Ten sam aktor będący zagrożeniem stał za atakiem na łańcuch dostaw, który naraził SolarWinds. Uważa się, że APT29 ma powiązania z Rosją i jest śledzony pod kilkoma innymi nazwami, w tym SolarStorm, Nobelium, NC2542, DarhHalo i innymi.

W swojej nowej operacji APT29 zdołał złamać konto Contact Amerykańskiej Agencji Rozwoju Międzynarodowego (USAID). Następnie hakerzy zaczęli używać legalnego konta marketingowego do wysyłania ponad 3000 e-maili phishingowych do ponad 150 różnych celów. Wśród organizacji, które dotknęła kampania groźby, były agencje rządowe i podmioty zajmujące się rozwojem międzynarodowym oraz działaniami humanitarnymi i prawami człowieka. Raport opublikowany przez Microsoft dotyczący ataku phishingowego ujawnił, że APT29 wdrożył 4 nigdy wcześniej nie widziane szczepy złośliwego oprogramowania - załącznik HTML o nazwie „EnvyScout", program do pobierania o nazwie „BoomBox", moduł ładujący o nazwie „NativeZone" oraz kod powłoki o nazwie „VaporRage".

NativeZone Szczegóły

Szkodliwe oprogramowanie NativeZone to program ładujący przeznaczony do wykonywania jednego zadania - dostarczania ładunku VaporRage do systemu, którego dotyczy naruszenie. NativeZone jest upuszczane do systemu przez szkodliwe oprogramowanie BoomBox poprzedniego etapu. Zagrożenie ukrywa się jako plik o nazwie „NativeCacheSvc.dll". NativeZone jest skonfigurowane tak, aby uruchamiało się automatycznie, gdy użytkownik loguje się do systemu Windows. Po uruchomieniu za pomocą rundll32.exe zagrożenie rozpocznie uruchamianie innego pliku upuszczonego przez BoomBox o nazwie „CertPKIProvider.dll". Zawiera ładunek złośliwego oprogramowania VaporRage.